タグ付けされた質問 「cr.crypto-security」

暗号化と情報セキュリティの理論的側面。

3
整数分解問題はRSA分解より難しいですか??
これは、math.stackexchangeからのクロスポストです。 ような素数整数与えられた、FACTが整数因数分解問題を表すとしますn∈N,n∈N,n \in \mathbb{N},pi∈N,pi∈N,p_i \in \mathbb{N},ei∈N,ei∈N,e_i \in \mathbb{N},n=∏ki=0peii.n=∏i=0kpiei.n = \prod_{i=0}^{k} p_{i}^{e_i}. RSAは、およびが素数である因数分解問題の特殊なケースを示します。つまり、素数またはそのような因数分解がない場合はNONEを見つけます。n=pqn=pqn = pqp,qp,qp,qnnnp,qp,qp,q 明らかに、RSAはFACTのインスタンスです。FACTはRSAよりも難しいですか?多項式時間でRSAを解くオラクルを考えると、多項式時間でFACTを解くのに使用できますか? (文献へのポインタは大歓迎です。) 編集1:計算時間の制限を多項式時間に追加しました。 編集2:Dan Brumleveによる回答で指摘されているように、FACTよりも難しい(または簡単な)RSAを支持する、または反対する論争がある論文があるという。これまでに次の論文を見つけました。 D.ボーネとR.ベンカテサン。RSAを破る方が、ファクタリングよりも簡単かもしれません。EUROCRYPT1998。http ://crypto.stanford.edu/~dabo/papers/no_rsa_red.pdf D.ブラウン:RSAを破ることは、ファクタリングと同じくらい難しいかもしれません。Cryptology ePrint Archive、Report 205/380(2006)http://eprint.iacr.org/2005/380.pdf G.リアンダーとA.ラップ。汎用リングアルゴリズムに関するRSAとファクタリングの等価性について。ASIACRYPT2006。http : //www.iacr.org/archive/asiacrypt2006/42840239/42840239.pdf D.アガーワルとU.マウラー。RSAを一般的に破ることは、ファクタリングと同等です。EUROCRYPT2009。http ://eprint.iacr.org/2008/260.pdf 私はそれらを調べて結論を見つけなければなりません。これらの結果を知っている人は要約を提供できますか?
3
ファクタリングがPにある結果
因数分解がNP完全であるとは知られていない。この質問では、ファクタリングがNP完全である結果を求めました。不思議なことに、ファクタリングがPにあることの結果を求めた人はいませんでした(そのような質問は簡単なためかもしれません)。 だから私の質問は: ファクタリングがPにあることの理論的な結果はどれですか?複雑性クラスの全体像は、そのような事実によってどのような影響を受けるでしょうか? ファクタリングがPにあることの実際的な結果はどれですか?銀行取引が危険にさらされる可能性があると言わないでください、私はすでにこの些細な結果を知っています。
5
RSAからSATへの高速削減
今日のScott Aaronsonのブログ投稿は、複雑で興味深い未解決の問題/タスクのリストを提供しました。特に注目を集めたのは次の1つです。 3SATインスタンスのパブリックライブラリを、可能な限り少ない変数と句で構築します。これを解決すると、注目に値する結果になります。(たとえば、RSAファクタリングの課題をエンコードするインスタンス。)このライブラリで現在の最高のSATソルバーのパフォーマンスを調査します。 これは私の質問を引き起こしました:RSA /ファクタリングの問題をSATに減らすための標準的なテクニックは何ですか?そのような標準的な削減はありますか? 明確にするために、「高速」とは多項式時間を意味しません。削減の複雑さの上限がもっと厳しいかどうか疑問に思っています。たとえば、既知の立方体の縮小はありますか?
4
それが公正であると確信できる宝くじ
(これがよく知られている場合は申し訳ありません。)エージェントjが確率p iでアイテムを取得できるように、エージェントのいずれかにアイテムを渡したいと思います。すべてのエージェント(およびすべてのオブザーバー)がランダム描画が実際に公正であると確信できるようにするための暗号化(またはその他の)ツールはありますか?kkkjjjp私pip_i
3
前提のない暗号化—概要を求めて
仮定し、SATのための高速な線形時間アルゴリズムは明日表示されます。突然、RSAは安全ではなくなり、現代の通信システムの多くが壊れてしまい、お互いの秘密を守る方法を再検討する必要があります。P= NPP=NPP = NP 質問:難易度を仮定せずに、暗号(および「セキュリティ」の関連分野)で可能なことの全体像を把握するための良い単一の参照(または短いリスト)はありますか?これはいつか文明を救う可能性があり、またその間に熟読するのもいいでしょう。 ディスカッション:現在調査している暗号化タスク(OWF、PRG、PKE)のほとんどは、世界(インパリアッツォの影響力のあるエッセイで「アルゴリトミカ」と呼ばれる世界)では不可能であることが証明されていますが、いくつかのことが可能です:ワンタイムパッド ; 分散秘密共有 ; 個人情報検索 ; そして、他のいくつかの素晴らしいもの。(ロックされたボックス、忘却型転送を実装するデバイス、量子状態などの特定の種類の物理的メカニズムも役立ちます。もちろん、誰がどの情報を見ることができるかについての何らかの物理的仮定が常にあります。)P= NPP=NPP = NP 情報理論的なセキュリティ(計算上無制限の敵に対して機能します)と「無条件の」セキュリティ(有界な敵を必要とするかもしれませんが、証明されていない仮定の下でセキュリティを示します)を区別できます。情報理論的なケースに最も興味があります。 まず第一に、情報理論的セキュリティの参考文献を1つ紹介します(これは、私の目的のために、管理不可能なほど長く、異なるものです)。
3
2番目のプリイメージ攻撃と衝突攻撃の違いは何ですか?
ウィキペディアでは、2番目のプリイメージ攻撃を次のように定義しています。 固定メッセージm1が与えられた場合、hash(m2)= hash(m1)となるような別のメッセージm2を見つけます。 ウィキペディアでは、衝突攻撃を次のように定義しています。 hash(m1)= hash(m2)となるような2つの任意の異なるメッセージm1およびm2を見つけます。 私が見ることができる唯一の違いは、2番目のプリイメージ攻撃では、m1がすでに存在し、攻撃者に知られていることです。ただし、それは重要だとは思いません。最終的な目標は、同じハッシュを生成する2つのメッセージを見つけることです。 2回目のプリイメージ攻撃と衝突攻撃の実行方法の本質的な違いは何ですか?結果の違いは何ですか? (余談ですが、この質問に適切にタグ付けすることはできません。「暗号化セキュリティプリイメージコリジョン」タグを適用しようとしていますが、十分な評判がありません。誰かが適切なタグを適用できますか?)
2
仕事の証明としての結び目認識
現在、ビットコインにはSHA256を使用したproof of work(PoW)システムがあります。他のハッシュ関数は、グラフ、部分ハッシュ関数の反転を使用する作業システムの証明を使用します。 結び目認識などの結び目理論で決定問題を使用し、それを仕事関数の証明にすることは可能ですか?また、誰もこれを以前にやったことがありますか?また、このProof of Work関数があると、現在計算されているものよりも便利になりますか?
1
値を明らかにせずに分散ノード間のパーセンタイルを推定する
この質問は、Theorytical Computer Science Stack Exchangeで回答できるため、Cross Validatedから移行されました。 8年前に移行され ました。 解決すべきかなりユニークな問題があり、ここで誰かがそれをどうやってうまくやるのかについての洞察を与えてくれることを望んでいます。 問題:単一の参加者が共有する番号を実際に知らないような方法で、N個の番号のリストが参加者セット間で共有されているとします。すべての参加者は、N(数値のリストのサイズ)とリスト上のすべての数値の合計を知っていますが、先験的なことは何も知りません。 一緒に作業することにより、参加者が「a <b」という文が真であるかどうかを学習するように、2つの共有番号aとbを比較できますが、それ以上はできません。ただし、これは非常に高価です(1回の比較を完了するのに数秒、場合によっては数分かかることがあります)。そのようなことがどのように可能かについてのもう少しの情報については、この投稿の終わりを見てください。 一日の終わりに、当事者は、リスト内のどのインデックスを、リスト内の「上位Kパーセント」(最大のK%)共有番号に対応させるかを出力します。もちろん、これはソートするか、「トップK」選択アルゴリズムを使用して実行できます。ただし、これらは非常に多くの比較を使用する傾向があるため、回避する必要があります。(これらは、O(n log n)またはO(n)のいずれかで、かなり大きな隠し定数があります。) 別の選択肢は、(1-K)%がXより小さく、K%が大きい数値Xでの「推測」です。次に、各要素をXと比較して、どれだけ大きいか、小さいかを確認できます。推測が間違っていた場合は、正しいソリューションに収束するまで、バイナリ検索などを使用して修正します。推測が正しければ、比較にかかる時間ははるかに少なくなります。 だから、私の質問は、 Nと合計のみを考えると、Xを「予測」する最良の方法は何ですか? もちろん、これは基礎となるディストリビューションに依存します。さまざまなユースケースでは、基礎となる分布は異なる可能性がありますが、既知であるため、すべての一般的なもの(通常、均一、指数関数、おそらくいくつか)の優れたソリューションに興味があります。また、基礎となる分布についての仮定を前提として、「バイナリのような」検索を実行してステップ数を最小限に抑える最善の方法に関する提案を聞きたいと思います。 付録:リストの各値は、Shamirの秘密共有スキームを使用して参加者間で共有されます。仮定M参加者が存在すると、リストは、リスト上のi番目の数は多項式で表現され、そして長さNであり、いくつかの有限体Fの一定期間にわたり度M-1のfはiが数であります共有されていることを、他のすべての係数はj番目の参加者の株式は次いで、F.からランダムに一様に選択されるfをI(J )、1 ≤ I ≤ Nf私f私f_if私f私f_if私(j )f私(j)f_i(j)1 ≤ I ≤ N1≤私≤N1\leq i\leq N。この共有を考えると、参加者はその番号に関する情報を(情報理論的には)持っていません。実際、参加者の適切なサブセットでは、知識を組み合わせて共有番号に関する情報を学習することはできません。ただし、高度な安全なマルチパーティ計算手法を使用すると、情報を公開せずに、ある共有値が別の共有値よりも小さいかどうかを判断できます。この手法では、すべての参加者が協力する必要があります。そのため、実行するのに費用がかかるため、できる限り少ない回数で実行する必要があります。
6
カリキュラム:セキュリティの論理的/形式的方法
現在、私はセキュリティの論理的方法に関する短いコース(修士レベルでの2時間の講義4回)を教えていますが、「セキュリティの形式的方法」というタイトルの方が適切かもしれません。以下のトピックを簡単に説明します(関連する論理的方法を使用)。 デジタル著作権管理とポリシー施行(一般的な形式化、モーダルロジック、オートマトンによる施行) プルーフキャリングコードおよびプルーフキャリング認証(証明理論、論理システム、カリーハワード同型、検証) アクセス制御(非古典的な論理、証明理論) スタック検査(プログラミング言語のセマンティクス、コンテキストの等価性、バイシミュレーション) 当然、このコースには複数の目標があり、そのうちの1つが潜在的な大学院生を惹きつけています。 今後数年間で、コースは通常のコースに拡張される可能性があり、より多くのコンテンツが必要になります。ここの人々の背景は私のものとはまったく異なるので、そのようなコースにどのようなコンテンツを含めるか知りたいです。
2
完全な準同型暗号化は、忘却型コード実行に使用できますか?
しばらく前にこの回答を読んだ後、私は完全に準同型暗号化に興味を持ちました。Gentryの論文の紹介を読んだ後、私は彼の暗号化スキームが3番目の段落で定義されているように忘却的なコード実行に使用できるかどうか疑問に思い始めました。 完全準同型暗号化スキームでは、通常、一部のデータを暗号化し、データに対して特定の関数が計算される敵対的な環境に送信します。その結果は、受信者が受信したデータを見つけたり、関数の結果は次のとおりです。 気付かないコードの実行とは、ある問題を解決するために設計されたコードを暗号化し、敵対的な環境に送信することを意味します。敵は使用したい解決するために、私たちは彼がどのように知っている必要はありませんCで動作します。彼が入力されている場合、私のためにPを、彼は暗号化することができ、私をしてから(上のいくつかの暗号化方式)を使用するCとIその後、(暗号化されていない)の出力を返し、O(溶液P入力用のICCCPPPCCCPPPCCC私私IPPP私私ICCC私私IOOOPPP私私I)。暗号化スキームは、攻撃者がコードの一部がどのように機能するかを決して見つけられないようにします。つまり、彼にとってはオラクルのように機能します。 このような暗号化スキームの主な実用的方法(考えられる)は、著作権侵害をより困難にするか、不可能にすることです。 完全に準同型の暗号化スキームを使用してこれが可能になると思うのは、暗号化されたデータ、特にユニバーサルチューリングマシンで任意の回路を実行できるからです。次に、コードをデータのように暗号化し、この暗号化されたデータでユニバーサルチューリングマシンの回路を使用してコードを実行できます。 このアイデアが使えるかどうかわからないので、ここで質問としてこれを提起します。Gentryの論文の紹介よりもはるかに先に進むことはなく、暗号に関する私の知識は限られています。また、忘れがちなコードの実行によく使われる用語があるかどうかもわかりません。Googleでアイデアを検索しようとしましたが、適切な用語がわからずに何も見つかりませんでした。 このアプローチで問題を引き起こす可能性のある複数の問題が考えられます。まず、修正せずに完全準同型暗号化を使用すると、計算結果(OOO)が暗号化されます。したがって、Pを解くためにコードを使用したい敵にとっては役に立ちませんPPP。これは、たとえばクラウドコンピューティングにはまだ有用かもしれませんが、私が達成したいことではありません。 次に、任意のチューリングマシンではなく回路を使用しているため、任意の量のメモリを使用することはできません。所定の量のメモリに制限されています。つまり、この方法でプログラムを実行する場合、メモリフットプリントは常に同じ、つまりピークメモリ使用量になります。 最後に、関連する定数は、ほぼ確実にそのようなシステムの実際の使用を完全に無効にしますが、それでもこのアイデアは興味深いと思います。
6
セキュリティと暗号化の理論と実践の違いは?
セキュリティと暗号化の理論と実践には、どのような興味深い違いがありますか? もちろん、最も興味深いのは、実際の経験に基づいた理論研究の新しい道を示唆する例です。 回答には次のものが含まれます(ただし、これらに限定されません)。 理論が何かを示唆しているが、実際には決して使用されない例 理論上、実際には安全ではない何かが安全であることが示唆されている例 広く実用化されているものの例には、その背後にある理論がほとんどありません。 ... 警告 あなたの答えが本質的に「理論は漸近論に関するものであるが、実践はそうではない」という形式である場合、理論は本当に中心的であるか、または実世界のインスタンスでの実際の経験が期待に基づくものと異なる特定の例を含める必要があります理論上。 私が知っている1つの例:安全な回路評価。理論上は非常に強力ですが、コードを取り込んで回路に展開し、各ゲートを1つずつ安全に評価する必要があるため、実際に使用するには複雑すぎます。
2
計算上の課題をプルーフオブワークに変換できますか?
暗号通貨マイニングの一見無意味さは、有用な代替の問題を提起しました。これらの質問は、ビットコイン、CST、MOで参照してください。計算上の課題CC\mathcal C(その解を効率的に検証できる)を、そのような課題Ψ (C)Ψ(C)\Psi(\mathcal C)(作業の証明に使用される)に実際に変換できるアルゴリズムが存在するのではないかと思う 関数ΨΨ\Psiは、何らかの(パブリック)ランダムシーケンスrを使用してランダム化されrrます。 Ψ (C)を解くのΨ(C)\Psi(\mathcal C)は、通常Cを解くのと同じくらい難しいC\mathcal Cです。 Ψ (C)の解xxxが見つかった場合、元のチャレンジCの解Ψ - 1(x )を効率的に計算できます。Ψ(C)\Psi(\mathcal C)Ψ−1(x)\Psi^{-1}(x)C\mathcal C Cの解を知ることは、Ψ (C)のC\mathcal C解を見つける助けにはなりません。Ψ(C)\Psi(\mathcal C) \;\:\:4 '(更新)。コメントでノアが指摘したように、前処理CC\mathcal Cは、前処理CもΨ (C)の解決に利点を与えないことを要求するように強化する必要がありΨ(C)\Psi(\mathcal C)ます。 この最後の条件は、Cの解を知っているという理由だけで誰も有利な立場に置かれないようにするために必要ですC\mathcal C。この方法を使用すると、人々は解決したい計算上の問題を提出することができ、中央当局は解決に値するものを選ぶことができます(エイリアンの発見とパスワードの破れなど)。問題が解決するのに1週間もかかる場合、それは問題ではないように見えることに注意してください(これらのエイリアンは隠れることはそれほどうまくできないと思います;)、これは解決策に対するより大きな報酬をもたらす可能性があるためです。とにかく、これらのトピックは私の理論的な問題の解決策とは関係ありませんが、もちろんコメント/フォーラムでそれらについて議論させていただきます。 考えられる解決策は次のとおりです。ΨΨ\PsiはCC\mathcal Cを(C、H A S H r)(C,HASHr)(\mathcal C,HASH_r)にマップします。つまり、CC\mathcal Cおよびその他の計算上困難な課題を解決します。これに伴う問題の1つは、Cの解を知るC\mathcal CことでΨ (C)を解くのがΨ(C)\Psi(\mathcal C)多少簡単になることです(どれだけ簡単になるかはH A S H rの難しさに依存しHASHrHASH_rます)。もう一つの問題は、ということであるΨ (Cが)Ψ(C)\Psi(\mathcal C)より困難になったCC\mathcal C。
4
Randomness Extractorの実装に関する現在の研究はありますか?
ランダム抽出ツールの構築の実装に関する研究はありますか? 抽出プルーフはBig-Ohを利用して、大きな隠された定数の可能性を残し、プログラムによる実装を潜在的に非現実的にするようです。 コンテキスト:モンテカルロシミュレーションで使用する(おそらく?)乱数の高速ソースとして乱数抽出器を使用することに興味があります。私たち(ETHZ計算物理学グループ)は、ランダム性を抽出したい量子乱数ジェネレーターからの高エントロピーソースにバイアスをかけています。以前の学生は、トレビザンの構造を実装しようとし、空間的な複雑さの問題に遭遇しました。その学生は別として、エクストラクターを実装しようとしている人々への言及は見つかりませんでした。 注:私はCS学部生で、理論CSおよびランダムネス抽出の分野に初めて参加します。
6
並列擬似乱数ジェネレーター
この質問は主に実用的なソフトウェアエンジニアリングの問題に関連していますが、理論家がより多くの洞察を提供できるかどうか聞いてみたいです。 簡単に言えば、擬似乱数ジェネレーターを使用するモンテカルロシミュレーションがあり、同じシミュレーションを並列で実行する1000台のコンピューターがあるように並列化したいと思います。したがって、擬似乱数の1000個の独立したストリームが必要です。 次のプロパティを持つ1000個の並列ストリームを使用できますか?ここで、は、あらゆる種類の素晴らしい理論的および経験的特性を備えた、非常によく知られ、広く研究されているPRNGである必要があります。XXX ストリームは、私は単純に使用した場合になるだろうどのように良いと証明可能ですしてによって生成されたストリーム分割 1000個のストリームにします。XXXXXX ストリーム内の次の番号の生成は、て次の番号を生成するのと(ほぼ)同じくらい高速です。XXX 別の言い方をすれば、複数の独立したストリームを「無料で」取得できますか? もちろん、常にを使用し、常に999個の数字を破棄して1を選択した場合、確かにプロパティ1が得られますが、実行時間で1000倍になります。XXX 単純なアイデアは、シード1、2、...、1000 で 1000コピーを使用することです。これは確かに高速になりますが、ストリームに良好な統計特性があるかどうかは明らかではありません。XXX グーグルでいくつか調べた後、たとえば次のことがわかりました。 SPRNGのライブラリは、まさにこの目的のために設計されているように見える、それがサポートしている複数のPRNGを。 メルセンヌツイスターは最近人気のあるPRNGのようで、複数のストリームを並行して生成できるバリアントへの参照をいくつか見つけました。 しかし、これはすべて私自身の研究領域からは程遠いため、実際に最先端のものがどれであるか、どの構造が理論上だけでなく実際にもうまく機能するかを理解できませんでした。 いくつかの明確化:暗号化プロパティは一切必要ありません。これは科学計算用です。数十億の乱数が必要になるので、周期がジェネレーターはすべて忘れてしまいます。&lt;232&lt;232< 2^{32} 編集:私は真のRNGを使用できません。確定的なPRNGが必要です。第一に、それはデバッグに大いに役立ち、すべてを繰り返し可能にします。第二に、マルチパスモデルを使用できるという事実を利用することで、たとえば中央値検出を非常に効率的に行うことができます(この質問を参照)。 編集2:密接に関連する質問@ StackOverflowがあります:クラスタ環境用の擬似乱数ジェネレータ。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.